Проблемы с доступом к шарам по SMB over NETBIOS из других подсетей

Проблемы с доступом к шарам по SMB over NETBIOS из других подсетей

Только разобрались с обновлением MS16-072, меняющим привычную схему работы GPO, как обнаружились проблемы с еще одним июньским бюллетенем безопасности — MS16-077 и обновлением KB3165191. После установки этого обновления на серверные системы, стало невозможно подключиться по протоколу Netbios over TCP/IP к сетевым шарам с клиентов, расположенных в других ip подсетях.

Проблема в первую очередь проявилась с сетевыми сканерами, которые выполняют сканирование документов и складывают сканы в сетевую папку (SMB) на сервере. Документы перестали сохранятся, а на самом сканере появляется ошибка Cannot connect to server. Также возникли проблемы при подключении Samba клиентов к контроллерам домена (ошибки Access Denied и No Logon Server Available). Что интересно, проблемы с доступом к Windows шарам возникли только у клиентов, расположенных в отличных от сервера подсетях.

После удаления обновления KB3165191 – доступ восстанавливался.

Посмотрим, что же делает обновление KB3165191. Согласно описанию, обновление накладывает ограничения на соединения NETBIOS из-за пределов локальной подсети. Таким образом, сетевой функционал, зависящий от NETBIOS (такой как SMB over NETBIOS, порты 137-139) не будет работать для клиентов из других подсетей. Обычный протокол SMB (445) порт при этом доступен отовсюду.

Чтобы изменить это поведение придется выполнить одно из следующих действий:

  • Удалить обновление безопасности KB3165191 (не самый лучший вариант)
  • В настройках клиентов, использующих NETBIOS перенастроить короткие имена серверов на FQDN (никогда не поздно)
  • На сервере создать в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters параметр типа Dword с именем AllowNBToInternet и значением 1 (по умолчанию после обновления 0). AllowNBToInternet

    reg add "HKLMSystemCurrentControlSetServicesNetBTParameters" /v "AllowNBToInternet" /t REG_DWORD /d 1 /f

    После создания параметра нужно перезагрузить сервер.

В результате, сервер станет доступен NETBIOS клиентам из других подсетей.

Qiziqarli malumotlar
Проблемы с доступом к шарам по SMB over NETBIOS из других подсетей